OpenSSL 3.0加入新的FIPS模組,並棄用大量API

 News from: iThome & OpenSSL Blog

OpenSSL 3.0加入新的聯邦資訊處理標準(FIPS)模組,還引入Providers架構,並且更新使用Apache License 2.0開源授權 。

經過三年開發,OpenSSL 3.0現在終於正式推出,這個版本的更新包括了一個重要的聯邦資訊處理標準(FIPS)模組並且提供Providers架構,同時棄用不少老舊API,值得注意的是,OpenSSL 3.0將轉換使用Apache License 2.0開源授權,但舊版本仍適用OpenSSL和SSLeay雙授權 。

Web site: https://www.openssl.org/blog/blog/2021/09/07/OpenSSL3.Final/

Github: https://github.com/sponsors/openssl




OpenSSL包含了SSL和TLS協定的開源實作,能夠用來保護網際網路的通訊安全,受目前網路應用程式,像是電子郵件、即時通訊或是VPN等採用,主要的作業系統包括Windows、Linux、MacOS和Android也都在使用。

OpenSSL 3.0加入了許多OpenSSL應用程式開發人員,應該要注意的新概念,這些新概念詳述在crypto文件中,像是Providers架構,在OpenSSL中的Provider為演算法實作的集合,用戶要使用一種演算法,就必須至少載入一個包含該演算法的Provider,除了使用OpenSSL內建的,開發者也可以使用第三方的Provider,當用戶未特別指定,則OpenSSL預設使用內建Provider。

OpenSSL 3.0中的一個重要新功能,便是加入新的FIPS模組,FIPS是美國聯邦政府制定給政府機構承包商的公開標準,雖然FIPS中的大部分標準,來自於ANSI、IEEE或ISO等通用標準,但是其中也包含一些美國自行訂定的加密標準。

官方提到,他們的實驗室正在測試FIPS模組,並且準備通過FIPS 140-2驗證,預計將會在明年取得證書。FIPS 140-2是一項美國政府標準,用來定義資訊產品中,加密模組的最低安全需求。在OpenSSL 3.0中,官方特別在FIPS模組使用上下功夫,讓開發者可以像是修改文件一樣,簡單地使用新的FIPS模組。

另外,OpenSSL 3.0的向後相容性也值得注意,官方表示,OpenSSL 3.0是一個主要版本,並不完全向後相容過去的版本。大多數使用OpenSSL 1.1.1的應用程式,只要重新編譯都可以正常運作,但是開發者會看到許多已棄用API的編譯警告。

許多應用程式需要更改程式碼,來避免出現棄用警告,而部分應用程式可能需要進行更改,才能編譯和正常運作。然而已棄用的API最終會從OpenSSL未來的某個版本刪除,因此官方呼籲開發者應該更新應用程式使用替代API。


留言

熱門文章